LastPass هو مدير كلمات مرور freemium يقوم بتخزين كلمات المرور المشفرة في السحابة ، والتي تم تطويرها في الأصل بواسطة شركة Marvasol، Inc.
المطورين مدير كلمة السر LastPass، والتي يستخدمها أكثر من 33 مليون شخص وأكثر من 100.000 شركة ، أبلغ المستخدمين بحادث تمكن فيه المهاجمون من الوصول إلى النسخ الاحتياطية من التخزين مع بيانات المستخدم من الخدمة.
تضمنت البيانات معلومات مثل اسم المستخدم والعنوان والبريد الإلكتروني والهاتف وعناوين IP التي تم الوصول إلى الخدمة من خلالها ، بالإضافة إلى أسماء المواقع غير المشفرة المخزنة في مدير كلمات المرور وتسجيلات الدخول وكلمات المرور وبيانات النموذج والملاحظات المشفرة المخزنة على هذه المواقع .
لحماية تسجيلات الدخول وكلمات المرور من المواقع ، تم استخدام تشفير AES مع مفتاح 256 بت تم إنشاؤه باستخدام وظيفة PBKDF2 استنادًا إلى كلمة مرور رئيسية معروفة للمستخدم فقط ، بحجم لا يقل عن 12 حرفًا. يتم تشفير وفك تشفير عمليات تسجيل الدخول وكلمات المرور في LastPass فقط من جانب المستخدم ، ويعتبر تخمين كلمة المرور الرئيسية غير واقعي على الأجهزة الحديثة ، نظرًا لحجم كلمة المرور الرئيسية وعدد التكرارات المطبقة على PBKDF2.
لتنفيذ الهجوم ، استخدموا البيانات التي حصل عليها المهاجمون خلال الهجوم الأخير الذي وقع في أغسطس ونُفذ من خلال اختراق حساب أحد مطوري الخدمة.
أسفر هجوم أغسطس عن وصول المهاجمين إلى بيئة التطوير، رمز التطبيق والمعلومات الفنية. اتضح لاحقًا أن المهاجمين استخدموا بيانات من بيئة التطوير لمهاجمة مطور آخر ، حيث تمكنوا من الحصول على مفاتيح الوصول إلى التخزين السحابي ومفاتيح لفك تشفير البيانات من الحاويات المخزنة هناك. استضافت الخوادم السحابية المخترقة نسخًا احتياطية كاملة من بيانات خدمة العامل.
يمثل الكشف تحديثًا مثيرًا لثغرة كشف عنها LastPass في أغسطس. أقر الناشر بأن المتسللين "أخذوا أجزاء من كود المصدر وبعض المعلومات الفنية الخاصة من LastPass." وقالت الشركة في ذلك الوقت إن كلمات المرور الرئيسية للعميل وكلمات المرور المشفرة والمعلومات الشخصية والبيانات الأخرى المخزنة في حسابات العملاء لم تتأثر.
256 بت AES ولا يمكن فك تشفيرها إلا باستخدام مفتاح فك تشفير فريد مشتق من كلمة المرور الرئيسية لكل مستخدم باستخدام بنية المعرفة الصفرية الخاصة بنا ، كما أوضح الرئيس التنفيذي لشركة LastPass ، كريم طوبا ، مشيرًا إلى نظام التشفير المتقدم. تشير المعرفة الصفرية إلى أنظمة التخزين التي يستحيل على مزود الخدمة اختراقها. تابع الرئيس التنفيذي:
كما أدرجت العديد من الحلول التي اتخذتها LastPass لتعزيز أمنها بعد الاختراق. تتضمن الخطوات إيقاف تشغيل بيئة التطوير المخترقة وإعادة البناء من نقطة الصفر ، والحفاظ على خدمة الكشف عن نقطة النهاية المُدارة والاستجابة لها ، وتناوب جميع بيانات الاعتماد والشهادات ذات الصلة التي ربما تم اختراقها.
نظرًا لسرية البيانات المخزنة بواسطة LastPass ، فمن المثير للقلق أنه تم الحصول على مثل هذه المجموعة الواسعة من البيانات الشخصية. في حين أن اختراق تجزئة كلمات المرور قد يكون كثيفًا للموارد ، إلا أنه ليس واردًا ، لا سيما بالنظر إلى طريقة المهاجمين وبراعتهم.
يجب على عملاء LastPass التأكد من قيامهم بتغيير كلمة المرور الرئيسية الخاصة بهم وكل كلمات المرور المخزنة في قبو الخاص بك. يجب عليهم أيضًا التأكد من أنهم يستخدمون الإعدادات التي تتجاوز إعدادات LastPass الافتراضية.
تدافع هذه التكوينات على كلمات المرور المخزنة باستخدام 100100 تكرار لوظيفة اشتقاق المفتاح المستند إلى كلمة المرور (PBKDF2) ، وهو مخطط تجزئة يمكن أن يجعل من المستحيل اختراق كلمات المرور الرئيسية الطويلة والفريدة من نوعها ، والتكرار الذي تم إنشاؤه عشوائيًا وهو 100100 تكراره بشكل محزن تحت عتبة OWASP الموصى بها والبالغة 310،000 التكرارات لـ PBKDF2 بالاشتراك مع خوارزمية تجزئة SHA256 المستخدمة بواسطة LastPass.
عملاء LastPass يجب أيضًا أن يكونوا يقظين جدًا بشأن رسائل البريد الإلكتروني المخادعة والمكالمات الهاتفية التي يزعم أنها من LastPass أو الخدمات الأخرى التي تسعى للحصول على بيانات حساسة وعمليات الاحتيال الأخرى التي تستغل بياناتك الشخصية المخترقة. تقدم الشركة أيضًا إرشادات محددة لعملاء المؤسسات الذين قاموا بتطبيق خدمات تسجيل الدخول الموحدة LastPass.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.